プロフェッショナル向けソーシャルネットワーキングサービス「LinkedIn」は、昨年同社サーバーのセキュリティ侵害によりログインパスワードが漏洩したプレミアムユーザーを代表して損害賠償を求めた訴訟の却下を勝ち取った。
データ侵害は2012年6月初旬、ハッカーがLinkedInアカウントに対応する650万件のパスワードハッシュをアンダーグラウンドフォーラムに投稿したことで発覚しました。これらのパスワードハッシュの60%以上が後にハッカーによって解読されました。
LinkedInに対する最初の告訴は、2012年6月15日に、イリノイ州在住でLinkedInの有料アカウント所有者であるKatie Szpyrka氏によって、北カリフォルニア地区の米国地方裁判所に提出された。
訴状では、LinkedIn が電子メール アドレス、パスワード、ログイン認証情報など顧客の個人情報を保護するための業界標準のプロトコルとテクノロジーを活用しなかったことで、自社の利用規約とプライバシー ポリシーに違反したと主張されています。
2012年11月26日、Szpyrka氏と、バージニア州在住のLinkedInプレミアムユーザーであるKhalilah Gilmore-Wright氏を代表して、修正訴状が提出されました。彼らは、侵害の影響を受けたすべてのLinkedInユーザーの集団代表者です。この訴訟は、「差止命令およびその他の衡平法上の救済」に加え、原告および集団の構成員に対する賠償と損害賠償を求めました。
苦情の詳細
訴状は、LinkedIn が自社のプライバシー ポリシーで「提供された個人情報は業界標準のプロトコルと技術に従って保護されます」と明記しているにもかかわらず、追加の保護なしに弱い暗号化ハッシュ関数を使用してパスワードを保存していたため、ユーザー データを適切に保護できなかったと主張している。
「この慣行の問題は2つある」と訴状には記されている。「第一に、SHA-1は時代遅れのハッシュ関数であり、1995年に国家安全保障局(NSA)によって初めて公開された。第二に、ユーザーのパスワードをハッシュ形式で保存する際に、パスワードに「ソルト」を付与しないことは従来のデータ保護手法に反し、ユーザーの機密データの完全性に重大なリスクをもたらす。」
パスワードハッシュは一方向暗号化の一種です。パスワードハッシュは平文パスワードの一意の暗号表現ですが、双方向暗号化関数で生成される暗号文とは異なり、ハッシュは復号化を意図したものではありません。ユーザーがログインしてパスワードを入力すると、パスワードは即座にハッシュ化され、その結果得られたハッシュは、そのユーザーのデータベースに既に保存されているハッシュと照合されます。
SHA-1のような古いハッシュ関数は高速で効率的ですが、ブルートフォース攻撃に対して脆弱です。そのため、ハッシュ化する前に各パスワードに一意のランダムな文字列を追加するのが一般的です。これは「ソルト」と呼ばれ、パスワードハッシュの解読をはるかに困難にします。
訴状では、もしシュピルカ氏とギルモア・ライト氏が、LinkedIn が低水準の暗号化を使用していることを知っていたら、サブスクリプションの種類に応じて月額 19.95 ドルから 99.95 ドルかかる LinkedIn のプレミアム アカウントに料金を支払わなかったはずだと主張している。
「『プレミアム』アカウントにサインアップして購入する際、原告とクラスのメンバーは、LinkedInが『業界標準のプロトコルとテクノロジー』を使用して個人情報の完全性とセキュリティを維持するという同社の表明を信頼し、アカウントを作成し、同社にPIIを提供することに同意した」と訴状は述べている。
訴状ではまた、原告らが支払った月額料金またはその一部は、LinkedIn がデータ管理とセキュリティの管理費用の支払いに使用しており、したがって業界標準のセキュリティ プロトコルとテクノロジーを使用するという約束に従っていると主張した。
裁判手続き
裁判所は火曜日、同社の利用規約とプライバシーポリシーは無料アカウントでもプレミアムアカウントでも同じであるという理由で、LinkedInの訴え棄却の申し立てを認めた。
「LinkedInが有料プレミアムアカウント保有者に対してセキュリティプロトコルに関して行ったとされる約束は、無料会員にも同様に行われた」と、裁判官は訴訟棄却命令の中で述べた。「したがって、会員がプレミアムアカウントのアップグレードを購入する際、その契約は特定のセキュリティレベルではなく、LinkedInのサービスをより有効に活用するための高度なネットワーキングツールと機能の提供と引き換えに締結されたものである。FAC(第一修正統合訴状)は、原告がプレミアム会員権を取得した際の契約に、無料会員権には含まれていない特定の(またはそれ以上の)セキュリティレベルが約束されていたことを十分に示していない。」
さらに、原告らは、LinkedIn 側の不当表示の主張を裏付けるために必要なプライバシー ポリシーを実際に読んだことすら主張していないと裁判官は述べた。
口頭弁論において、原告側弁護士は、本訴訟は主に契約違反の主張に基づいていると主張したが、そのような主張が認められるためには、被告側がこの契約違反に起因する損害を特定する必要があると述べた。裁判官は、原告が主張する損害は、契約違反の主張が行われる前、つまり当事者が最初に契約を締結した時点で発生したものであると述べた。したがって、原告が主張する経済的損失は、契約違反の主張に起因する「結果的損害」には該当しない、と裁判官は述べた。
製品機能の不十分な履行を理由とする不法行為の主張の場合、裁判所は原告が欠陥製品に対して過払いしたという主張以上の「何か」を主張する必要があると判決を下してきたと、判事は述べた。「原告はLinkedInのセキュリティサービスの提供方法に異議を唱えているため、純粋な経済的損害以上の「何か」を主張する必要がある。この「何か」とは、例えば個人情報の盗難など、セキュリティサービスの不備やセキュリティ侵害の結果として生じた損害である可能性がある。」
